CSRF是跨站请求伪造,

laravel框架中避免CSRF攻击:laravel自动为每个用户session生成一个CSRF Token,TokenK可用于验证避免登录用户和发起请求者是否是同一个人,如果不是,则请求失败,(类似于验证码原理)。

laravel有全局帮助函数,csrf_token()来获取Token的值,在视图表单里,提交表单中添加如下代码就可以在请求上戴上Token

<input type="hidden" name="_token" value="{{csrf_token()}}"/>

laravel默认开启CSRF验证,因此必须在前台表单中做出相应的处理,CSRF验证在laravel框架中只对post请求生效,不处理get请求

案例:laravel中如何避免CSRF攻击

编写两个路由

Route::get('test7','TestController@test7');
Route::post('test8','TestController@test8')->name('t8');

在控制器里写两个方法

// 两个方法,一个用于展示表单get ,一个用于处理请求post,
public function test7(){return view('test7');
}
public function test8(){return '转账成功';
}

定义一个视图文件交test7

<!DOCTYPE html>
<html lang="{{ str_replace('_', '-', app()->getLocale()) }}"><head><meta charset="utf-8"><meta name="viewport" content="width=device-width, initial-scale=1"><title></title><!-- Fonts --><link href="https://fonts.googleapis.com/css?family=Nunito:200,600" rel="stylesheet"><!-- Styles --><style></style></head><body><form action="{{route('t8')}}" method="post"><input type="text" name="name" placeholder="用户名"/><br /><input type="text" name="money" placeholder="金额"/><br />//不加下面这句会报419错误<input type="hidden" name="_token" value="{{csrf_token()}}"/><input type="submit"/></form>
</html>

laravel CSRF攻击相关推荐

  1. 所有表单对象_Laravel 表单方法伪造与 CSRF 攻击防护

    1.表单方法伪造 有时候,我们可能需要手动定义发送表单数据所使用的 HTTP 请求方式,而 HTML 表单仅支持 GET 和 POST 两种方式,如果要使用其他的方式,则需要自己来定义实现. HTTP ...

  2. php csrf攻击教程,HTTP路由实例教程(三)—— CSRF攻击原理及其防护

    HTTP路由实例教程(三)-- CSRF攻击原理及其防护 由 学院君 创建于5年前, 最后更新于 11个月前 版本号 #3 77487 views 92 likes 0 collects 1.什么是C ...

  3. [PHP] - Laravel - CSRF token禁用方法与排除验证csrf_token的url设置

    laravel5.1排除验证csrf_token的url设置 <?php namespace App\Http\Middleware; use Illuminate\Foundation\Htt ...

  4. 初窥CSRF攻击方式以及Flask-WTF

    含义 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF. ...

  5. 前端安全之CSRF攻击

    个人博客 文章目录 注意点 几种常见的 CSRF 攻击: 1. GET 类型的 CSRF 攻击 2. POST 类型的 CSRF 攻击 3. 链接类型的 CSRF CSRF 特点 防护策略 同源检测 ...

  6. 浅谈CSRF攻击方式

    一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSR ...

  7. 记得ajax中要带上AntiForgeryToken防止CSRF攻击

    经常看到在项目中ajax post数据到服务器不加防伪标记,造成CSRF攻击 在Asp.net Mvc里加入防伪标记很简单在表单中加入Html.AntiForgeryToken()即可. Html.A ...

  8. 渗透知识-CSRF攻击

    CSRF攻击原理及测试方法 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站 ...

  9. 第三百九十二节,Django+Xadmin打造上线标准的在线教育平台—sql注入攻击,xss攻击,csrf攻击...

    第三百九十二节,Django+Xadmin打造上线标准的在线教育平台-sql注入攻击,xss攻击,csrf攻击 sql注入攻击 也就是黑客通过表单提交的地方,在表单里输入了sql语句,就是通过SQL语 ...

最新文章

  1. JavaScript系统对象
  2. Android布局之LinearLayout
  3. 欧歌赛机器人_本页面内容已永久停止用户浏览!
  4. python读取excel文件-python读取excel文件
  5. 存储过程学习三(创建存储过程实例)
  6. SAP UI5 XML 视图里 label 和 text 控件文本对齐问题
  7. 修改html页面的title,可以自定义
  8. Lucene-01 全文检索基本介绍
  9. linux init进程原理,Linux 系统下 init 进程的前世今生
  10. 经典面试题(16):以下代码将输出的结果是什么?
  11. creo管道设计教程_Creo产品设计教程:握力器弹簧建模,一个技巧轻松搞定
  12. Silverlight开发历程—C#代码添加动画
  13. 利用递归遍历文件夹和文件存入TreeView
  14. 记录一次奇葩的sleep(15)引起的Too many connections
  15. Ubuntu16.04 设置自启动脚本,系统重启自动执行自定义脚本任务
  16. 使用RMAN备份与恢复数据库(2)——参数文件的备份与恢复
  17. WebSocket模拟群聊
  18. Transformer论文翻译
  19. 钟道隆逆向英语学习法—学习SpeciaI English的三个阶段
  20. linux ARM64 中断底层处理代码分析

热门文章

  1. 树状数组 + 二分 - Query HDU - 4339
  2. Portraiture宿主磨皮插件PS+Lr人像智能磨皮美化
  3. python 找图像中的圆
  4. HTC骁龙665手机只卖2100元 :6月营收大涨60%
  5. 学成在线项目note
  6. BIM模型文件下载——人性化办公楼BIM模型
  7. ios emoji 键盘_为什么我的iPhone Emoji键盘消失了?
  8. 在linux里安装/卸载mysql
  9. mars3d获取地图和图层相关数据
  10. 草根程序员的光荣之路--参加移动应用的海选